2025年AWS认证CloudFront与IAM权限控制专题试卷及解析.pdfVIP

2025年AWS认证CLOUDFRONT与IAM权限控制专题试卷及解析1

2025年AWS认证CloudFront与IAM权限控制专题试

卷及解析

2025年AWS认证CloudFront与IAM权限控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CloudFront中，哪种缓存策略最适合需要严格遵循TTL（生存时间）规则

且不允许客户端缓存的内容？

A、ManagedCachingOptimized

B、ManagedNoCache

C、自定义缓存策略，TTL设置为0

D、OriginRequestPolicy

【答案】C

【解析】正确答案是C。自定义缓存策略并将TTL设置为0可以确保CloudFront

不缓存内容，同时强制每次请求都回源获取最新数据。A选项是优化缓存策略，会缓存

内容；B选项虽然不缓存，但无法灵活控制TTL；D选项是用于控制请求转发到源站

的行为，与缓存策略无关。知识点：CloudFront缓存策略配置。易错点：混淆缓存策略

与源请求策略的功能。

2、以下哪种IAM策略元素用于限制策略生效的条件？

A、Effect

B、Action

C、Condition

D、Resource

【答案】C

【解析】正确答案是C。Condition元素用于指定策略生效的条件，如时间限制、IP

地址等。A元素定义允许或拒绝；B元素定义操作；D元素定义资源范围。知识点：

IAM策略语法结构。易错点：忽略Condition元素的灵活性，误以为只能通过Action

和Resource控制权限。

3、CloudFront的OAI（OriginAccessIdentity）主要用于解决什么问题？

A、加速静态内容分发

B、限制对S3存储桶的直接访问

C、优化动态内容路由

D、减少源站负载

【答案】B

【解析】正确答案是B。OAI是CloudFront与S3集成的身份标识，用于确保只有

CloudFront可以访问S3存储桶中的私有内容。A选项是CloudFront的基本功能；C

2025年AWS认证CLOUDFRONT与IAM权限控制专题试卷及解析2

选项涉及缓存策略；D选项是CloudFront的通用优势。知识点：CloudFront与S3的

安全集成。易错点：混淆OAI与OAC（OriginAccessControl）的区别。

4、在IAM中，哪种策略类型适用于跨账户权限委托？

A、内联策略

B、托管策略

C、基于资源的策略

D、权限边界

【答案】C

【解析】正确答案是C。基于资源的策略（如S3存储桶策略）可以直接附加到资源

上，用于跨账户权限委托。A和B是身份策略；D用于限制权限范围。知识点：IAM

策略类型与应用场景。易错点：误以为所有策略都适用于跨账户场景。

5、CloudFront的GeoRestriction功能可以基于什么限制内容访问？

A、用户设备类型

B、地理位置

C、请求频率

D、内容类型

【答案】B

【解析】正确答案是B。GeoRestriction允许根据用户所在国家/地区限制访问。A

选项需要Lambda@Edge实现；C选项是WAF功能；D选项是缓存策略控制。知识点：

CloudFront访问控制功能。易错点：混淆GeoRestriction与WAF的功能。

6、以下哪种IAM角色信任策略的Principal元素配置是正确的？

A、“Principal”:{“AWS”:“arn:aws:iam::123456789012:user/testuser”}

B、“Principal”:{“Service”:“”}

C、“Principal”:{